loa.exe macht mich krank

#1 Guten Morgen, ich habe das problem das ich nach einem heruntergeladenen windows update und dem folgendem neustart plötzlich einen virus hatte in C:\Windows\system32\loa.exe so habe dann im internet geguckt was das ist angeblich ein mIRC wurm aber ich habe kein mIRC?!?! so nachdem ich ihn von Avast! habe löschen lassen war er nach dem nächsten neustart wieder da?

Bitte um Hilfe

MfG SeNSaY

#2 http://board.protecus.de/t23188.htm
__________
MfG Argus

#3 ja tut mir leid bin scho dabei hab da zu spät drauf geachtet war nur ein wenig durchennander wegen dem virus

Entschuldigung nochmal hier erstma Malwarebyte:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1337
Windows 5.1.2600 Service Pack 2

30.10.2008 04:38:31
mbam-log-2008-10-30 (04-38-31).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 79352
Laufzeit: 21 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows updater (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\shost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.


Combofix:

ComboFix 08-10-30.04 - Crime R 2008-10-30 4:50:07.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.712 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Crime R\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Crime R\Anwendungsdaten\.#

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-28 bis 2008-10-30 ))))))))))))))))))))))))))))))
.

2008-10-30 04:14 . 2008-10-30 04:14 <DIR> d-------- C:\Dokumente und Einstellungen\Crime R\Anwendungsdaten\Malwarebytes
2008-10-30 04:14 . 2008-10-30 04:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-30 04:14 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-30 04:14 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-30 02:20 . 1998-10-21 18:43 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-10-30 02:15 . 2008-10-30 02:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-10-29 23:10 . 2008-10-29 23:10 <DIR> d-------- C:\Programme\DoremiSoft
2008-10-29 17:26 . 2008-10-29 17:24 209,608 --a------ C:\WINDOWS\system32\TABCTL32.OCX
2008-10-29 06:29 . 2008-10-30 03:37 16,388 --a------ C:\WINDOWS\system32\qw.dat
2008-10-29 05:50 . 2008-10-29 17:29 <DIR> d-------- C:\Dokumente und Einstellungen\Crime R\Anwendungsdaten\FileZilla
2008-10-29 05:49 . 2008-10-29 11:24 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-10-24 19:27 . 2008-10-24 19:27 <DIR> d-------- C:\Dokumente und Einstellungen\Crime R\Anwendungsdaten\OtakuSoftware
2008-10-24 19:26 . 2008-10-24 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\Crime R\Anwendungsdaten\gtk-2.0
2008-10-24 19:26 . 2008-10-24 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-10-24 19:25 . 2008-10-24 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\Crime R\WINDOWS
2008-10-24 19:24 . 2008-10-24 19:27 <DIR> d-------- C:\WINDOWS\system32\DRVSTORE
2008-10-24 19:24 . 2008-10-24 19:24 <DIR> d-------- C:\Dokumente und Einstellungen\Crime R\AVM_Driver
2008-10-19 07:37 . 2008-10-19 07:36 140,288 --a------ C:\WINDOWS\system32\COMDLG32.OCX
2008-10-19 04:09 . 2008-09-12 15:00 95,888 --a------ C:\WINDOWS\system32\drivers\VBoxDrv.sys
2008-10-19 04:09 . 2008-09-12 15:00 41,680 --a------ C:\WINDOWS\system32\drivers\VBoxUSBMon.sys
2008-10-19 02:00 . 2008-10-19 02:00 <DIR> d-------- C:\Programme\MSXML 6.0
2008-10-17 23:49 . 2008-10-24 19:27 <DIR> d-------- C:\Dokumente und Einstellungen\Crime R\Anwendungsdaten\ICQ
2008-10-17 23:47 . 2008-10-24 19:27 <DIR> d-------- C:\Programme\ICQ6
2008-10-15 16:54 . 2008-10-15 16:54 0 --a------ C:\WINDOWS\nsreg.dat
2008-10-15 13:44 . 2008-08-14 14:42 2,182,656 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 13:44 . 2008-08-14 14:42 2,138,624 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 13:44 . 2008-08-14 14:42 2,060,032 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 13:44 . 2008-08-14 14:42 2,018,304 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-15 12:46 . 2008-07-18 21:07 270,880 --a------ C:\WINDOWS\system32\mucltui.dll
2008-10-15 12:46 . 2008-07-18 21:07 210,976 --a------ C:\WINDOWS\system32\muweb.dll
2008-10-15 12:46 . 2008-07-18 21:07 29,728 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-10-15 00:09 . 2008-10-24 19:26 <DIR> d-------- C:\Programme\Messenger Plus! Live
2008-10-15 00:02 . 2008-10-24 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\Crime R\Contacts
2008-10-14 23:55 . 2008-10-15 00:11 <DIR> d-------- C:\Programme\Windows Live
2008-10-14 23:55 . 2008-10-24 19:24 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-10-14 23:55 . 2008-10-14 23:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-10-14 23:44 . 2008-10-14 23:44 <DIR> d-------- C:\Dokumente und Einstellungen\Crime R\.thumbnails
2008-10-14 23:43 . 2008-10-30 02:46 <DIR> d-------- C:\Dokumente und Einstellungen\Crime R\.gimp-2.6
2008-10-14 23:43 . 2008-10-24 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\Crime R\.gegl-0.0
2008-10-14 22:42 . 2008-10-14 22:42 <DIR> d-------- C:\Dokumente und Einstellungen\Crime R\Anwendungsdaten\OpenOffice.org
2008-10-14 22:41 . 2008-10-14 22:41 <DIR> d-------- C:\Programme\OpenOffice.org 3
2008-10-14 20:32 . 1997-10-13 19:55 299,008 --a------ C:\WINDOWS\unin0407.exe
2008-10-14 18:51 . 2008-10-24 19:25 <DIR> d---s---- C:\Dokumente und Einstellungen\Crime R\UserData
2008-10-14 16:09 . 2008-10-14 16:19 <DIR> d-------- C:\Dokumente und Einstellungen\Crime R\Anwendungsdaten\Tor
2008-10-14 16:08 . 2008-10-14 16:08 <DIR> d-------- C:\Programme\Alwil Software
2008-10-14 13:41 . 2008-10-14 13:41 13,646 --a------ C:\WINDOWS\system32\wpa.bak
2008-10-13 19:50 . 2008-06-14 18:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-10-13 19:50 . 2008-06-14 18:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-10-13 19:40 . 2008-10-13 19:40 <DIR> d-------- C:\Programme\AVM_update
2008-10-13 19:35 . 2008-10-13 19:35 <DIR> d-------- C:\WINDOWS\AVM_Driver
2008-10-13 19:35 . 2008-10-24 19:24 <DIR> d-------- C:\Programme\avmwlanstick
2008-10-13 19:35 . 2008-09-05 01:01 265,088 --a------ C:\WINDOWS\system32\drivers\fwlanusb.sys
2008-10-13 19:35 . 2008-09-05 01:01 97,360 --a------ C:\WINDOWS\system32\drivers\Fwusb1b.bin
2008-10-13 19:35 . 2006-04-06 00:00 33,792 --a------ C:\WINDOWS\system32\avmcowlan.dll
2008-10-13 16:52 . 2008-10-24 19:23 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-10-13 15:59 . 2004-08-03 22:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-10-13 12:22 . 2008-10-13 12:22 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-09-28 13:40 . 2008-10-24 19:23 <DIR> d-------- C:\Programme\GOA
2008-09-27 15:59 . 2008-10-30 03:00 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-09-27 15:59 . 2005-02-25 04:34 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-09-26 20:11 . 2008-10-14 17:38 <DIR> d-------- C:\Warhammer Online - Age of Reckoning
2008-09-26 20:02 . 2008-09-26 20:03 <DIR> d-------- C:\WINDOWS\Logs

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-24 18:24 --------- d-----w C:\Programme\Hama
2008-10-14 19:51 --------- d-----w C:\Programme\microsoft frontpage
2008-09-26 18:59 --------- d-----w C:\Programme\Gemeinsame Dateien\SWF Studio
2008-09-26 17:10 --------- d-----w C:\Programme\Online-Dienste
2008-09-26 17:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-09-15 15:37 1,846,144 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-05 00:01 69,120 ----a-w C:\WINDOWS\system32\avmadd32.dll
2008-09-05 00:01 4,352 ----a-w C:\WINDOWS\system32\drivers\avmeject.sys
2008-08-28 10:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-20 05:35 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:42 2,182,656 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:42 2,060,032 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"Steam"="D:\Programme\Steam\Steam.exe" [2008-10-29 1410296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2008-09-05 1794048]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\Crime R\Startmen�\Programme\Autostart\
OpenOffice.org 3.0.lnk - C:\Programme\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-10-30 110592]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2008-09-05 265088]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2008-09-05 4352]
S3 SbieDrv;SbieDrv;D:\Programme\Sandboxie\SbieDrv.sys [ ]
S3 tapvpn;TAP VPN Adapter;C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-01-23 27136]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7b45ce2a-9937-11dd-a3b0-000b6a8ecd9b}]
\Shell\AutoRun\command - G:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{88d03114-9a2f-11dd-a3b7-00040ece2005}]
\Shell\AutoRun\command - G:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{adb4d646-9955-11dd-a3b5-00040ece2005}]
\Shell\AutoRun\command - G:\setupSNK.exe

*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Real Desktop - C:\Programme\Real Desktop\Real Desktop.exe
HKCU-Run-DeskSpace - D:\Programme\DeskSpace\deskspace.exe
HKCU-Run-SandboxieControl - D:\Programme\Sandboxie\SbieCtrl.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Crime R\Anwendungsdaten\Mozilla\Firefox\Profiles\xnrguz74.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-30 04:51:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-30 4:52:28
ComboFix-quarantined-files.txt 2008-10-30 03:52:26

Vor Suchlauf: 2.045.886.464 Bytes frei
Nach Suchlauf: 2,041,360,384 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

168 --- E O F --- 2008-10-30 02:00:36

HiJackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:03:11, on 30.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "D:\Programme\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Sandboxie Service (SbieSvc) - Unknown owner - D:\Programme\Sandboxie\SbieSvc.exe (file missing)

--
End of file - 4057 bytes

So Und DatFind.bat Log:
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18E7-96A3

Verzeichnis von C:\WINDOWS\system32

30.10.2008 04:58 13.646 wpa.dbl
30.10.2008 03:41 392.296 perfh009.dat
30.10.2008 03:41 58.596 perfc009.dat
30.10.2008 03:41 405.118 perfh007.dat
30.10.2008 03:41 70.580 perfc007.dat
30.10.2008 03:41 938.224 PerfStringBackup.INI
30.10.2008 03:37 16.388 qw.dat
29.10.2008 17:24 209.608 TABCTL32.OCX
24.10.2008 19:29 111.784 FNTCACHE.DAT
19.10.2008 07:36 140.288 COMDLG32.OCX
15.10.2008 17:57 332.800 netapi32.dll
14.10.2008 16:08 3.002 CONFIG.NT
14.10.2008 13:41 13.646 wpa.bak
13.10.2008 23:38 208.376 TZLog.log
07.10.2008 11:19 16.721.856 MRT.exe
26.09.2008 19:02 0 h323log.txt
26.09.2008 18:14 261 $winnt$.inf
26.09.2008 18:11 16.832 amcompat.tlb
26.09.2008 18:11 23.392 nscompat.tlb
26.09.2008 18:10 488 logonui.exe.manifest
26.09.2008 18:10 488 WindowsLogon.manifest
26.09.2008 18:10 749 wuaucpl.cpl.manifest
26.09.2008 18:10 749 sapi.cpl.manifest
26.09.2008 18:10 749 cdplayer.exe.manifest
26.09.2008 18:10 749 ncpa.cpl.manifest
26.09.2008 18:10 749 nwc.cpl.manifest
26.09.2008 18:09 21.740 emptyregdb.dat
15.09.2008 16:37 1.846.144 win32k.sys
05.09.2008 01:01 69.120 avmadd32.dll
20.08.2008 06:35 3.081.216 mshtml.dll
20.08.2008 06:35 617.984 urlmon.dll
20.08.2008 06:35 16.384 jsproxy.dll
20.08.2008 06:35 1.023.488 browseui.dll
20.08.2008 06:35 665.088 wininet.dll
20.08.2008 06:35 449.024 mshtmled.dll
20.08.2008 06:35 474.624 shlwapi.dll
20.08.2008 06:35 39.424 pngfilt.dll
20.08.2008 06:35 1.494.528 shdocvw.dll
20.08.2008 06:35 532.480 mstime.dll
20.08.2008 06:35 152.064 cdfview.dll
20.08.2008 06:35 55.808 extmgr.dll
20.08.2008 06:35 146.432 msrating.dll
20.08.2008 06:35 251.392 iepeers.dll
20.08.2008 06:35 205.312 dxtrans.dll
20.08.2008 06:35 96.768 inseng.dll
20.08.2008 06:35 357.888 dxtmsft.dll
20.08.2008 06:35 1.056.256 danim.dll
19.08.2008 10:51 374.272 xpsp3res.dll
14.08.2008 14:42 2.182.656 ntoskrnl.exe
14.08.2008 14:42 2.060.032 ntkrnlpa.exe
19.07.2008 15:43 1.163.960 aswBoot.exe
19.07.2008 15:30 94.392 AvastSS.scr
18.07.2008 21:10 94.920 cdm.dll
18.07.2008 21:10 53.448 wuauclt.exe
18.07.2008 21:10 45.768 wups2.dll
18.07.2008 21:10 36.552 wups.dll
18.07.2008 21:10 33.992 wucltui.dll.mui
18.07.2008 21:09 29.896 wuaucpl.cpl.mui
18.07.2008 21:09 29.896 wuapi.dll.mui
18.07.2008 21:09 215.752 wuaucpl.cpl
18.07.2008 21:09 325.832 wucltui.dll
18.07.2008 21:09 563.912 wuapi.dll
18.07.2008 21:09 205.000 wuweb.dll
18.07.2008 21:09 1.811.656 wuaueng.dll
18.07.2008 21:08 21.192 wuaueng.dll.mui
18.07.2008 21:07 270.880 mucltui.dll
18.07.2008 21:07 29.728 mucltui.dll.mui
18.07.2008 21:07 210.976 muweb.dll
14.07.2008 12:09 62.976 tzchange.exe
07.07.2008 21:30 253.952 es.dll

1774 Datei(en) 378.777.460 Bytes
0 Verzeichnis(se), 2.065.391.616 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18E7-96A3

Verzeichnis von C:\DOKUME~1\CRIMER~1\LOKALE~1\Temp

30.10.2008 05:09 86.864 datfind.txt
30.10.2008 04:54 0 etilqs_J5YW6BehqrhFIcdSziwy
30.10.2008 03:37 49.152 ~DFE0CB.tmp
3 Datei(en) 136.016 Bytes
0 Verzeichnis(se), 2.065.432.576 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18E7-96A3

Verzeichnis von C:\WINDOWS

30.10.2008 04:58 9.886 setuplog.txt
30.10.2008 04:51 227 system.ini
30.10.2008 04:48 9.198 SchedLgU.Txt
30.10.2008 04:40 1.457.884 WindowsUpdate.log
30.10.2008 03:37 2.048 bootstat.dat
30.10.2008 02:15 149 KPCMS.INI
15.10.2008 16:54 0 nsreg.dat
13.10.2008 15:53 87 NetwkCfg.txt
26.09.2008 18:14 8.192 REGLOCS.OLD
26.09.2008 18:11 0 control.ini
26.09.2008 18:11 477 win.ini
26.09.2008 18:11 316.640 WMSysPr9.prx
26.09.2008 18:11 4.161 ODBCINST.INI
26.09.2008 18:10 749 WindowsShell.Manifest
26.09.2008 18:09 36 vb.ini
26.09.2008 18:09 37 vbaddin.ini
05.09.2008 01:01 12.976 instwcli.inf

58 Datei(en) 8.398.536 Bytes
0 Verzeichnis(se), 2.065.428.480 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18E7-96A3

Verzeichnis von C:\WINDOWS\temp

30.10.2008 03:37 16.384 Perflib_Perfdata_4fc.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 2.065.428.480 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18E7-96A3

Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.09.2008 18:10 65 desktop.ini
24.03.2008 18:33 1.527.056 FP_AX_CAB_INSTALLER.exe
2 Datei(en) 1.527.121 Bytes
0 Verzeichnis(se), 2.065.428.480 Bytes frei
.
.
.

#4 Entferne ComboFix mit diesen Commando
Start>>Ausführen>>Kopiere rein combofix /u ok

MBAM darfst du behalten,vor dem Scannen erst Updaten

Und wie ist mit "C:\Windows\system32\loa.exe "noch zu finden?
__________
MfG Argus

#5 sorry wegen der abwesenheit hatte inet ausfall und thx für die hilfe
wie meinste das :

Zitat

Und wie ist mit "C:\Windows\system32\loa.exe "noch zu finden?

wennde meinst ob sie noch zu finden ist nein ist sie nicht

MfG SeNSaY